Рассказываем, как не нарушить новый закон и как привести сайт в соответствие с новыми правилами.
C 1 июля 2021 года вступил в силу закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 07.02.2021. Изменения коснулись статьи 13.
11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», а также статей 28.3 и 28.4 КоАП РФ.
Ранее протоколами по таким делам занималась прокуратура, теперь их возбуждает Роскомнадзор. Причем РКН уже активно ведет проверки, начисляет штрафы по каждому пункту нарушений, а суммы возросли в десятки раз.
Если на сайте нет информации о политике конфиденциальности, индивидуального предпринимателя могут оштрафовать на сумму в 10 тысяч рублей, а компанию — на 30 тысяч.
Если обработкой персональных данных будет заниматься новостной сайт без согласия своих подписчиков или интернет-магазин — без согласия клиентов, то руководителя компании или предпринимателя оштрафуют на сумму до 20 тысяч рублей, а юрлицо — до 75 тысяч рублей.
Количество штрафов будет равно количеству нарушений, заплатить один раз за несколько ошибок не получится.
- Кто виноват?
- Что делать?
- 152-ФЗ: что нужно знать, если у вас есть сайт
- Кто может получить штраф
- Что такое персональные данные
- Штрафы
- Как соблюдать 152-ФЗ
- Коротко:
- Как владельцам сайтов избежать штрафов. Федеральный закон
- Изменения на сайте
- Как составить текст Соглашения
- Закон «О персональных данных» — что нужно знать агентству
- Что регулирует закон № 152-ФЗ «О персональных данных»?
- Какие бывают персональные данные?
- Кто попадает под действие закона?
- Примеры обработки персональных данных в диджитал
- Основные требования законодательства в области персональных данных
- Требования по подготовке внутренних организационно-распорядительных документов
- Требования по приведению процессов работы с персональными данными в соответствие с законом
- Требования по технической защите персональных данных в информационных системах
- Требования по хранению баз персональных данных на территории Российской Федерации
- Кем проверяется выполнение требований закона?
- Основные риски при невыполнении закона
- Как лучше всего выполнить требования закона?
- Выполнение закона собственными силами
- Выполнение закона с помощью юриста
- Выполнение закона с привлечением системного интегратора
- «Ждать, когда грянет гром»
- Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным
- Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас
- Закон о защите персональных данных №152-ФЗ: сфера регулирования, требования, штрафы
- В какой сфере действителен закон о защите персональный данных?
- Законодательство для владельцев сайтов
- Юридическая ответственность
- Требования закона о персональных данных
- Актуальная редакция
- 152-ФЗ «О защите персональных данных»
- Описание закона
- Когда принят?
- Порядок использования персональных данных
- Последние изменения ФЗ «О защите персональных данных»
- Скачать 152-ФЗ
- Федеральный закон РФ от 27 июля 2006 года
- Общие положения
- Принципы
- Условия
- Категории
- Права субъектов
- Обязанности оператора
- Меры по обеспечению безопасности
- Уполномоченный орган
- 🔥 Видео
Кто виноват?
Согласно Федеральному закону «О персональных данных» — «персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.»
Ответственность за нарушение нового закона несут так называемые «операторы персональных данных».
Оператор персональных данных, согласно тому же закону — «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».
Все владельцы сайтов, на которых есть контактная форма — анкета, форма регистрации, обратной связи, подписки или просто кнопка заказа обратного звонка, запрашивающая имя и контактный номер телефона, являются операторами персональных данных и могут быть привлечены к ответственности за нарушения пунктов закона.
Вместе с тем, закон не распространяется на запись и сохранение любой личной информации, которую планируется использовать для личных или семейных нужд.
Телефонная книга в смартфоне или список контактов в клиенте электронной почты не сделают вас оператором персональных данных.
Но, если вы передадите эти данные лицу или организации, которая по закону, является оператором персональных данных или опубликуете сведения, это будет нарушением.
Что делать?
- Подготовьте публичные документы о правилах и условиях обработки персональных данных и разместите их на сайте так, чтобы они были доступны с любой страницы. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных. Важно не название, а содержание.
Не копируйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели их использования пропишите свои.
Данные, которые могут потребоваться интернет-магазину для доставки товара, не понадобятся для оформления подписки на информационном сайте. Почему это важно — см. следующий пункт.
- Приведите в соответствие с публичным документом сами контактные формы. Запрашивать нужно только те персональные данные, которые нужны для работы с вашим ресурсом. Подпишите, зачем просите эти данные, чтобы пользователям было комфортно их оставлять.
Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.
- Реализуйте программное решение, которое гарантирует согласие пользователя на обработку персональных данных. Это может быть чек-бокс в форме регистрации, в котором нужно поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.
В случае, если персональные данные не предполагается публиковать, а только использовать для обработки внутри компании, явным образом ограничьте передачу персональных данных без согласия на их обработку. Согласно закону, обязанность доказать, что пользователь добровольно оставил свои данные, возлагается на оператора.
- Обезопасьте базу данных. Подготовьте внутренние документы, регламентирующие правила обработки и хранения персональных данных, ответственности сотрудников, имеющих к ним доступ, назначьте лицо, ответственное за безопасность персональных данных и соблюдение правил работы с ними, определенных Федеральным законом N152.
Даже в том случае, если ваш сайт обслуживает другая компания или специалист на аутсорсе, штраф за нарушение закона будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.
Важно! Перед получением персональных данных, которые предполагается публиковать в общедоступных источниках или передавать третьим лицам, получите письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение.
Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор.
Уведомление можно не подавать, если:
- обрабатываются только данные сотрудников;
- персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться или использоваться иным образом;
- у вас хранятся только ФИО клиента;
- данные опубликованы в общем доступе самим человеком или кем-либо по его поручению.
Если уверены, что отправлять уведомление не нужно, оформите всю документацию так, чтобы это было понятно и возможным проверяющим. Укажите в пользовательском соглашении, что данные открыты с согласия пользователя, но помните, что доказывать это придется вам.
https://www.youtube.com/watch?v=3rdoaBqn4n0
По закону операторы персональных данных должны уведомить Роскомнадзор. Это нужно сделать до начала обработки данных или вскоре после. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.
Кроме того, вы обязаны сообщать по запросу пользователя, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали, а также удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе.
Подготовить документы, опубликовать политику и уведомить РКН бесплатно можно здесь.
Дополнено 04.07.2021:
Видео:152-фз что делать для защиты персональных данных и что такое обработка персональных данных на сайтеСкачать
152-ФЗ: что нужно знать, если у вас есть сайт
С 1 июля 2021 года штрафы за несоблюдение требований Федерального закона N 152-ФЗ «О персональных данных» выросли в разы. Если раньше предпринимателя могли оштрафовать на сумму до 10 000 рублей, то сегодня — до 295 000 рублей. Мы разобрались, как этого избежать.
Кто может получить штраф
Закон действует для всех операторов персональных данных. Оператор персональных данных — это юридическое лицо или ИП, которое собирает, обрабатывает и хранит данные пользователей.
Если на вашем сайте есть форма обратной связи, в которую пользователь вводит своё имя и номер телефона, или вы собираете email-адреса клиентов, чтобы рассылать им рекламные предложения, вы — оператор персональных данных.
Если на вашем сайте есть хотя бы одно из этого, вы — оператор персональных данных:
- форма обратной связи;
- личный кабинет пользователя;
- форма заказа обратного звонка;
- форма заявки;
- форма подписки на email-рассылку;
- Яндекс.Метрика или Google Analytics.
Что такое персональные данные
Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе. Чаще всего это:
- ФИО (вместе и по отдельности);
- дата рождения;
- адрес;
- телефон;
- email;
- фотография;
- ссылка на профиль в соцсетях;
- список заказанных товаров или услуг;
- сookies;
- данные о местоположении;
- IP-адрес.
Сookies — это небольшие текстовые файлы, которые содержат информацию о посещённых сайтах, например имя или пароль от аккаунта, которые при следующем заходе на сайт применяются автоматически
Логин и никнейм не считаются персональными данными — их легко придумать и по ним сложно найти пользователя. Но в привязке к другим данным они могут стать персональными.
Штрафы
Для компаний, должностных лиц и ИП штрафы разные. Они также зависят от типа правонарушения. Например, если вы на своём сайте собираете cookies, но уведомления об этом нет, компанию могут оштрафовать на сумму до 75 000 рублей. А за то, что вы забыли дать активную ссылку на политику обработки персональных данных, придётся заплатить до 30 000 рублей. Вот подробный перечень штрафов.
С данными нужно быть особенно аккуратными, потому что бывают щекотливые ситуации. Например, вы заказали у агентства рекламную рассылку.
Предоставили работникам агентства базу, которую собрали на своём сайте, а они разослали по ней ваше рекламное предложение. После рассылки сотрудники агентства решили заработать и продали доступ к этой базе другому своему клиенту.
Если это вскроется, Роскомнадзор оштрафует вас, а не предприимчивых сотрудников агентства.
Как соблюдать 152-ФЗ
Мы разобрались, что обязательно нужно сделать предпринимателю, который собирает данные пользователей онлайн. Следуйте нашей пошаговой инструкции.
Шаг 1. Зарегистрируйтесь как оператор персональных данных.
Подайте уведомление об обработке персональных данных в Роскомнадзор. Это нужно сделать до публикации сайта, который собирает данные о посетителях (основание — часть 1 статьи 22 Закона). Уведомление подаётся в электронном виде через сайт Роскомнадзора и в бумажном виде по почте в отделение Роскомнадзора по месту вашей регистрации.
Шаг 2. Выложите на сайт политику обработки персональных данных.
Документ можно составить с помощью бесплатного онлайн-конструктора, например, от Tilda. После этого необходимо разместить на сайте активную ссылку на политику — обычно это документ в формате PDF. Ссылка чаще всего располагается в подвале сайта.
https://www.youtube.com/watch?v=c2oCSEP-mhI
Не обязательно вставлять в каждую форму сбора данных ссылку на политику с активной галочкой, нажав на которую, пользователь подтверждает, что ознакомился с этим документом. Такого требования в законе нет.
Шаг 3. Составьте согласие на обработку персональных данных.
Согласие составляется в свободной форме, вот пример. Главное, чтобы в документе было прописано то, что требует часть 4 статьи 9 152-ФЗ:
- название и адрес вашей компании или фамилия, имя, отчество, адрес индивидуального предпринимателя, который собирает персональные данные;
- цель обработки персональных данных пользователя;
- перечень персональных данных, на обработку которых пользователь даёт согласие;
- наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку персональных данных по вашему поручению (если есть);
- перечень действий, которые вы будете совершать с персональными данными пользователя, и общее описание способов обработки данных, которые вы используете;
- срок, в течение которого действует согласие пользователя, а также способ отзыва этого согласия.
По закону в согласии должна быть подпись субъекта персональных данных и его паспортные данные. Но это требования к письменному согласию. В онлайне это выполнить невозможно, поэтому при проверках Роскомнадзор не требует этого от предпринимателя.
Согласие на обработку персональных данных на сайте Точки
Шаг 4. Дайте ссылку на реестр операторов персональных данных.
После того, как Роскомнадзор зарегистрирует вас как оператора персональных данных, он внесёт эту информацию в реестр и присвоит вам уникальный номер. Ссылаясь на это, вы подтверждаете, что являетесь оператором персональных данных и действуете в соответствии с 152-ФЗ.
Шаг 5. Повесьте на сайт уведомление о сборе cookies и других данных.
К этим данным относятся cookies, информация о местоположении пользователя и его IP-адрес. Прочитав и закрыв такое уведомление, пользователь соглашается, что вы собираете и обрабатываете его персональные данные. Если он с этим не согласен, должен уйти с сайта.
На сайте Точки о сборе cookies написали в самом низу страницы
Шаг 6. Подготовьте бумажные документы.
Роскомнадзор устраивает плановые и внеплановые проверки, а также дистанционно наблюдает за сайтами и проводит профилактику нарушений. В ходе проверок сотрудники Роскомнадзора напрямую общаются с предпринимателями и могут запросить дополнительные документы, например копию устава и справку о статусе оператора как субъекта малого предпринимательства с указанием типа предприятия.
Если у вас их не окажется, Роскомнадзор может заблокировать сайт, выписать штраф и даже приостановить деятельность. Специалисты из компании Б-152 составили перечень необходимых документов. Он большой, поэтому бумаги лучше собрать заранее.
Коротко:
- Законодательство в сфере сбора и обработки персональных данных ужесточилось, а штрафы для предпринимателей выросли в разы. Дальше — больше.
- Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
- Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.
- Для компаний, должностных лиц и ИП штрафы разные. Они также зависят от типа правонарушения.
- Чтобы соблюдать 152-ФЗ, надо зарегистрироваться как оператор персональных данных, составить политику обработки персональных данных и согласие на обработку персональных данных, повесить на сайт уведомление о сборе метаданных и подготовить несколько десятков бумажных документов.
Видео:Закон о персональных данных 152-ФЗ по полочкамСкачать
Как владельцам сайтов избежать штрафов. Федеральный закон
С 1 июля 2021 года вступили в силу изменения в законе о персональных данных, и теперь общий штраф за невыполнение требований закона № 152-ФЗ «О защите персональных данных» может доходить до 300 000 руб.
Как эти изменения повлияют на владельцев сайтов, и что делать, чтобы обезопасить себя от штрафов, мы расскажем в этой статье.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональными данными являются:
email; телефон; имя, фамилия, отчество (и по отдельности); адрес; дата рождения; фотография; ссылка на персональный сайт и профиль в соцсетях; cookie, данные об IP-адресе и местоположении.
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Если на вашем сайте есть форма обратной связи, подписка на рассылку, регистрация, личный кабинет, онлайн-оплата или любая другая форма сбора данных — это считается обработкой персональных данных, а вы будете являться Оператором персональных данных.
Изменения на сайте
Чтобы соответствовать требованиям 152-ФЗ, ваш сайт должен удовлетворять следующим условиям:
- Хостинг и база данных с персональными данными должна располагаться на территории России.
Под расположением хостинга подразумевается физическое местонахождение Центра обработки данных (ЦОД), на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, но его ЦОДы расположены, за пределами РФ, вы нарушаете закон и попадаете под блокировку сайта. - Добавить текст согласия на обработку персональных данных.
Под каждой формой сбора данных разместите текст «Я согласен на обработку персональных данных» со ссылкой на документ. - Разместить на сайте в общем доступе ссылку на Политику организации в отношении обработки персональных данных.
Например, в футере сайта. - Уведомлять новых пользователей сайта о том, что вы собираете их метаданные
(cookie, данные об IP-адресе и местоположении), если он не хочет, чтобы его данные обрабатывались, то должен покинуть сайт. - Указать email, куда пользователь может направить запрос о своих персональных данных или обратиться за тем, чтобы его персональные данные были удалены.
Важно, чтобы указанный email был рабочим, и информация на нем регулярно проверялась, чтобы не пропустить запрос пользователя на удаление персональных данных с сайта. - Заключить соглашение о безопасности персональных данных с разработчиком сайта.В случае, если разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта (например, сайт находится на технической поддержке), то необходимо заключить соглашение с разработчиком об обеспечении безопасности персональных данных.
В соглашении нужно указать, какие персональные данные фирма-разработчик может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть указаны требования по защите персональных данных.
- Подать уведомление, для внесения организации в реестр операторов персональных данных Роскомнадзора.
Это можно сделать через сайт.Уведомление можно не подавать, если:
- обрабатываются только данные сотрудников;
- персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
- человек сам опубликовал эти данные в общем доступе;
- у вас есть только ФИО клиента и больше ничего.
Во всех остальных случаях операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или как можно скорее.
Кроме изменений на сайте, юридическим лицам нужно также принять внутренние документы, регламентирующие процессы обработки и защиты персональных данных.
Как составить текст Соглашения
Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:
- наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.
Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).
Список изменений внушительный, но бояться их не стоит. Мы приведем Ваш сайт в соответствие Федеральному закону «О персональных данных» от 27.07.2006 N 152-ФЗ в течение 3-х рабочих дней!
Стоимость под ключ – 4 800 руб.
Видео:Что такое персональные данные (ПДн)? Защита по 152-ФЗ и требования Роскомнадзора в 2022Скачать
Закон «О персональных данных» — что нужно знать агентству
Многие агентства интересуются: что с этим законом делать? На что он влияет? Дело в том, что иностранные заказчики и представители иностранных компаний в России стали чаще спрашивать:
«Обеспечиваете ли вы защиту персональных данных, собираемых во время наших рекламных кампаний и поддержки сайта?».
Закон о локализации баз персональных данных на территории РФ, тесно связанный с законом «О персональных данных» и вступивший в силу 1 сентября 2015 года, сильно их напугал.
Эта статья отвечает на вопросы:
- Что регулирует закон № 152-ФЗ «О персональных данных»?
- Кто попадает под действие закона?
- Какие основные требования закона № 152-ФЗ?
- Какие существуют основные риски за невыполнение закона для организаций и должностных лиц?
- Как лучше выполнить требования закона и показать это заказчикам?
Что регулирует закон № 152-ФЗ «О персональных данных»?
Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать эти данные.
https://www.youtube.com/watch?v=WymmmSfbE0g
Персональные данные — это любая информация, относящаяся к физическому лицу. Даже связка имени и адреса электронной почты уже относится к персональным данным.
В агентствах обрабатываются, как минимум, персональные данные:
- Сотрудников;
- Близких родственников сотрудников;
- Кандидатов на вакантную должность;
- Клиентов.
Какие бывают персональные данные?
Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.
Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.
К обработке специальных и биометрических персональных данных предусмотрены особые требования.
Кто попадает под действие закона?
Все предприниматели, физические и юридические лица, бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных.
В первую очередь закон касается компаний, работающих в следующих сферах:
- Реклама и диджитал;
- Финансы и кредитование;
- Медицина и фармокология;
- Телекоммуникации;
- Образование;
- Офлайн- и онлайн-ритейл;
- Гостиничное дело;
- Бюджетные организации.
Эти компании чаще всего работают с персональными данными. Поэтому главный регулятор в этой сфере — Роскомнадзор — внимательно за ними следит.
Примеры обработки персональных данных в диджитал
В первую очередь, следят за видами обработки персональных данных, которые используются:
- Для трудоустройства сотрудников и оформления им ДМС;
- Для выдачи карт лояльности;
- Для рекламных и новостных рассылок;
- Для оказания услуг;
- Для регистрации на сайтах и информационных системах;
- Для звонков потенциальным клиентам.
Основные требования законодательства в области персональных данных
Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:
1. Подготовить пакет организационно-распорядительной документации. 2. Привести процессы работы с персональными данными в соответствие с законом. 3. Реализовать техническую защиту персональных данных в информационных системах.
4. Хранить базы с персональными данными на территории Российской Федерации.
Требования по подготовке внутренних организационно-распорядительных документов
Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.
При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.
Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.
Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.
Требования по приведению процессов работы с персональными данными в соответствие с законом
Персональные данные необходимо правильно собирать, обрабатывать и передавать.
Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.
С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.
https://www.youtube.com/watch?v=n_jgRNKgdvo
Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.
В Роскомнадзор должно быть подано уведомление об обработке персональных данных.
Требования по технической защите персональных данных в информационных системах
Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.
Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.
После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.
Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.
Требования по хранению баз персональных данных на территории Российской Федерации
С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.
О месторасположении баз данных необходимо уведомить Роскомнадзор.
Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.
Роскомнадзор дал операторам срок до конца февраля 2021 года, чтобы выполнить эти требования.
Кем проверяется выполнение требований закона?
Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.
ФСТЭК России. Проверяет выполнение требований по технической защите.
ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.
Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.
Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.
Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.
Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?
Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.
Основные риски при невыполнении закона
По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.
Основные риски:
- Наложение на организацию штрафа до 300 000 рублей;
- Наложение на должностных лиц штрафа до 10 000 рублей;
- Разрыв трудового договора с должностным лицом;
- Запрет руководителю занимать руководящие должности на срок до 3-х лет;
- Блокировка сайта организации по жалобе физического лица;
- Внесение компании в реестр нарушителей прав субъектов персональных данных.
С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.
С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».
Как лучше всего выполнить требования закона?
- Собственными силами;
- Привлечь юриста;
- Обратиться к системному интегратору;
- «Ждать, пока грянет гром»;
- Использовать сервисы автоматизированной подготовки документов по персональным данным.
Рассмотрим каждый по отдельности.
Выполнение закона собственными силами
Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.
https://www.youtube.com/watch?v=uaCg-Fh_K24
На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.
Выполнение закона с помощью юриста
Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.
Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.
При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.
Выполнение закона с привлечением системного интегратора
К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.
Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).
Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.
«Ждать, когда грянет гром»
Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.
Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.
Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.
Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным
Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.
Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.
Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.
Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас
Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.
Заказчики (особенно иностранные) стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.
Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.
Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.
Источник картинки на тизере: Flickr
Видео:Обработка персональных данных 152-ФЗ: что важно знать в 2022 годуСкачать
Закон о защите персональных данных №152-ФЗ: сфера регулирования, требования, штрафы
Закон о защите и хранении персональных данных относится к сфере информационного права Российской Федерации. Он распространяется на всю территорию страны. В связи с тем, что он является Федеральным, ни один другой нормативный правовой акт, принятый на уровне субъектов РФ, не может ему противоречить.
В какой сфере действителен закон о защите персональный данных?
Первая статья ФЗ №152 «О защите персональных данных» регламентирует сферу, на которую распространяется и оказывает влияние закон.
Сферой в данном случае являются те отношения, которые связаны с различными операциями с персональными данными, их обработкой и т.д.
Распространяется он на всех существующих субъектов: физических и юридических лиц, федеральные органы государственной власти, органы МСУ (местного самоуправления), органы гос. власти на уровне субъектов РФ, а также иными органами государственного управления.
https://www.youtube.com/watch?v=WsKMIE8qJhU
Исходя из этого видно, что Федеральный Закон имеет влияние на все организации (коммерческие и государственные), которые обрабатывают информацию и личные данные граждан РФ в своих информационных системах. Стоит отметить, что от формы собственности и размера предприятия (организации) не зависит распространение закона.
Важно: среди государственных органов, осуществляющих свои полномочия в данной сфере, выделяют: ФСБ РФ, ФСТЭК России, Россвязькомнадзор.
Законодательство для владельцев сайтов
Естественно действие Федерального Закона о защите персональных данных в 2021 году затрагивает интересы и владельцев сайтов, а также иных интернет-ресурсов, деятельность которых связана со сбором личной информации граждан. Роскомнадозор осуществляет надзорные функции в отношении сайтов в текущем году более тщательно, чем в предыдущие. Большое количество интернет-ресурсов уже подверглось блокировке, а их создатели штрафам.
Открытие интернет-магазина от А до Я: пошаговая инструкция
При нарушении закона №152 «О персональных данных» владельцами сайтов действуют нормы КоАП РФ (кодекс об административных правонарушениях).
Штрафные санкции предусмотрены достаточно крупные. С июля 2021 года размер штрафов устанавливается до 75 000 рублей. Налагаемый штраф будет зависеть от того, какая часть статьи 13.
11 КоАП РФ нарушена.
Важно: возбуждать дела в данном случае будет не прокуратура, а Роскомнадзор. Примечательно, что протокол будет составляться по каждому отдельному виду нарушения (как за один визит, так и за несколько).
Юридическая ответственность
Закон о персональных данных регламентирует юридическую ответственность субъектов правовых отношений за нарушение данного нормативного правового акта. Статья 24 ФЗ №152 закрепляет положения о том, что лица несут ответственность в соответствии с законодательством страны.
Норма, которая соответствует каждому определенному правонарушению, определяется исходя из квалификации правонарушения. Стоит отметить, что нормы есть в различных источниках. КоАП РФ регламентирует систему штрафов за совершение правонарушения.
Если нарушается законодательство относительно персональных данных в сфере трудового права, то в таком случае регулятором выступает Трудовой Кодекс РФ. В соответствии с законом к правонарушителю могут быть применены следующие виды ответственности:
- Дисциплинарная.
- Гражданско-правовая.
- Материальная.
- Уголовная.
- Административная.
Таким образом, неправильное обращение с персональными данными может повлечь за собой даже лишение свободы. Такое бывает, например, когда затрагивается положение о неприкосновенности личной жизни.
Важно: штраф может быть отдельно за каждый вид нарушения, после составления протокола он суммируется.
Требования закона о персональных данных
Закон о неразглашении персональных данных имеет одновременно несколько направлений. Он разработан и принят для того, чтобы обезопасить частную жизнь граждан Российской Федерации посредством сохранения конфиденциальности персональных данных.
Благодаря действию закона №152 на территории РФ о персональных данных, граждане могут не беспокоиться о своей частной, личной информации. Акт направлен на защиту данных, возможны лишь способы передачи и хранения информации (устанавливаются допустимые рамки).
Как снизить риск участия в судебных разбирательствах?
Порядок передачи и удаления информации регламентирован наиболее жестко, так как это наиболее важный момент.
Актуальная редакция
На данный момент актуальна редакция Федерального Закона «О персональных данных» от 27 июля 2006 года. Наиболее значительные изменения в данном законе были введены в июле прошлого 2021 года.
В последних правках было ужесточение юридической ответственности за нарушения в данной сфере. Среди законов, которые вводили изменения, был ФЗ №242 (от 21 июля 2021 года). Именно он обновляет пункты и вносит необходимые законодательные поправки.
Полный текст документа Закона о персональных данных от 27.07 2006 можно посмотреть здесь.
Видео:Персональные данные (ФЗ-152 от 27.07.2006 , ФЗ-126 от 07.07.03, Приказ Роскомнадзора N18 от 24.02.21Скачать
152-ФЗ «О защите персональных данных»
Ежедневно люди выполняют множество операций в сети, которые предусматривают использование персональных данных гражданина. Большинство из них не знают простых правил безопасности при использовании интернета. По этой причине, правительство возложило обязанность по защите этих граждан на учреждения, использующие информацию о сотрудниках.
Основным правовым документом, регулирующим обработку персональных сведений различными организациями, является закон «О персональных данных» от 27.07.2006 года № 152-ФЗ.
Описание закона
Постановления закона распространяются на организации, которые работают с обработкой персональных сведений граждан или те, кто имеет к ним доступ.
Действия, которые не регулируются законом 152-ФЗ:
- Персональные сведения обрабатываются физическими лицами для личных нужд. Необходимо отметить, что обработка не должна нарушать права обладателя данных;
- Организация архивов, которая регулируется законодательством об архивации в Российской Федерации;
- Обработка личных данных, которые содержат информацию, относящуюся к государственной тайне;
- Личные данные, которые относятся к деятельности судебных органов и которые были представлены в судебном порядке;
- Персональные сведения, относящиеся к деятельности судов.
А знаете ли вы, что закон с предыдущим номером 151, посвящен вопросу об аварийно спасательных службах.
Когда принят?
152-ФЗ был принят Государственной Думой 8 июля 2006 года. Одобрил его Совет Федерации 14 июля 2006 года. Последняя редакция закона произошла 22 февраля текущего года. Действовала она до 1 марта 2021.
Порядок использования персональных данных
Согласно закону РФ, руководитель компании должен утвердить порядок использования личных сведений. Необходимые нормы указываются в локальном документе организации о защите данных. Они должны соответствовать требованиям правовых актов РФ и 152-ФЗ.
Оператор личных данных — это правительственный, муниципальный орган или физическое, юридическое лицо, которое организует осуществление обработки личной информации и определяет цели их использования.
В обязанности оператора входит:
1. При сборе личных сведений, оператор предоставляет по просьбе гражданина информацию о том, чьи данные он получил, информацию, которая предусмотрена ст. 14 ч.7 152-ФЗ.
2. Если гражданин обязан предоставить свои сведения по закону РФ, оператор должен объяснить ему, что в случае отказа, можно столкнуться с юридическими последствиями.
3. Если полученная оператором для обработки личная информация не была предоставлена ее владельцем, он обязан предоставить ему следующую информацию:
- ФИО и адрес оператора;
- С какой целью обрабатываются данные и на основании каких правовых актов;
- Права гражданина, чьи данные были получены;
- При помощи какого источника была получена личная информация.
4. Согласно положениям 152-ФЗ, оператор назначает ответственное лицо в определенной организации, которое организовывает обработку полученных материалов. Уполномоченное лицо получает указания по дальнейшим действиям от оператора.
https://www.youtube.com/watch?v=rqFthYaEims
Ознакомьтесь Федеральный закон «О защите конкуренции» в последней редакции
Обработка личной информации по 152-ФЗ разрешается в следующих случаях:
- Анализ личной информации вправе осуществляться с согласия гражданина, чьи данные были получены;
- Если обработка информации требуется для достижения целей, предусмотренные законом РФ или международными договорами России;
- Анализ информации необходим для судебной инстанции;
- Обработка сведений требуется для защиты жизни гражданина;
- Производится в статистических или исследовательских целях, за исключением целей, указанных в статье 15, 152-ФЗ.
Кстати, текст закона о почтовой связи тоже важно изучить. Подробности по ссылке:
Последние изменения ФЗ «О защите персональных данных»
Поскольку законодательные акты зачастую претерпевают корректировки, в 152-ФЗ также были внесены изменения.
По причине вступления в силу Федерального закона от 03.07.2021 № 230-ФЗ претерпели изменения условия анализа личной информации, описанные в Федеральном Законе 152.
Статья 3
В 3 статье закона описываются основные понятия, которые используются в акте: персональные данные, оператор, обработка персональных сведений, а также распространение и предоставление личных сведений. В последней редакции представленная статья не претерпела изменений.
Статья 5
В 5 статье федерального закона описаны принципы анализа информации. Отмечается, что обработка сведений осуществляется только по закону и объединение базы данных с личной информацией граждан запрещена. В последнем редактировании текущая статья не подвергалась изменениям.
Статья 7
В 7 ст. 152-ФЗ сказано, что операторы и другие ответственные лица, получившие доступ к личным данным, обязаны не распространять информацию, не получив согласие владельца. Изменений статья не претерпела.
Статья 9
В 9 ст. 152-ФЗ указана информация о согласии субъекта на обработку его личных данных. Представлены сведения о том, как составить письменное согласие.
При последней редакции, изменений в текущей статье не было.
Статья 19
19 статья 152 Федерального Закона указывает меры для обеспечения безопасности личной информации при ее анализе.
Скачать 152-ФЗ
Чтобы разрешить конфликтную ситуацию или иные вопросы, связанные с защитой персональных данных, изучите последнюю редакцию 152-ФЗ РФ. В законе о защите информации представлены все поправки, дополнения и изменения. Скачать измененный закон можно по ссылке.
Видео:Изменения в обработке персональных данных с 01 марта 2023 годаСкачать
Федеральный закон РФ от 27 июля 2006 года
Что представляет собой федеральный закон «О персональных данных» (ФЗ №152)? Какие основные требования и положения содержатся в этом проекте? На все эти вопросы будут даны ответы в статье.
Общие положения
Какие цели преследует рассматриваемый законопроект? Первое и самое основное — это регулирование отношений, связанных с обработкой информации. Речь идет о средствах автоматизации, информационных и телекоммуникационных сетях, материальных носителях и картотеках.
Закон не регулирует защиту данных в конкретной бытовой сфере, семейной или личной. Важнейшим направлением работы представленного законопроекта является защита свобод и прав граждан путем качественного обрабатывания их персональных данных.
Нужно это для качественного обеспечения неприкосновенности частной, семейной и личной жизни.
Закон «О персональных данных» направлен на защиту прав граждан. А что подразумевается под персональными данными? Если вкратце, то это абсолютно любая информация, косвенно или напрямую относящаяся к тому или иному лицу. Процесс обработки этих данных представляет собой ряд операций, направленных на хранение, блокирование, удаление или систематизацию информации.
Принципы
Закон «О персональных данных» (ФЗ №152) содержит в себе ряд основных принципов, на которых и держится весь процесс обработки информации. Что это за принципы? Здесь можно выделить следующее:
- Все действия должны осуществляться на справедливой и законной основе. Существование рассматриваемого законопроекта подтверждает этот принцип.
- Должна быть установлена конкретная, четкая цель. Любое отхождение от этой цели недопустимо (целью является защита прав граждан).
- Должна быть обеспечена точность, достаточность и актуальность заданных целей. Должно быть установлено содержание (его содержит закон о персональных данных).
- Хранение всех необходимых данных должно осуществляться в соответствии со всеми сроками, требованиями и целями.
Таким образом, рассматриваемый нормативный акт содержит в себе все необходимые принципы, на основе которых может строиться деятельность по защите информации.
Условия
Обработка персональных данных должна осуществляться не только в соответствии с определенными принципами, но и в строгом подчинении определенным условиям. Что это за условия и как они группируются? Вот что стоит выделить:
- Обязательное согласие гражданина на обработку его данных — важнейшее условие, которое содержит в себе закон «О персональных данных» (ФЗ №152).
- Вся обработка данных направлена в первую очередь на достижение определенных целей, регулируемых законами и договорами Российской Федерации.
- Обработка персональных данных направлена на осуществление правосудия или исполнение каких-либо правовых актов.
- Если получение согласия со стороны гражданина невозможно, обработка его данных все же должна производиться в случае, когда жизни или здоровью человека угрожает опасность.
Стоит также отметить, что обработка всех необходимых персональных данных должна осуществляться специальными, уполномоченными на то операторами. Обязанности этих специалистов будут приведены далее.
Категории
Положение о защите персональных данных содержит в себе определенные типы и категории тех элементов информации, которые должны подвергаться обработке.
О чем именно идет речь? Если вкратце, то охарактеризовать основные категории можно как расовые, национальные, религиозные или любые иные убеждения, предусмотренные соответствующим законопроектом.
Их обработка должны осуществляться только с непосредственного согласия гражданина и в соответствии со всеми нормами, стандартами и правилами.
https://www.youtube.com/watch?v=a4aIPjheu3c
Раскрыть основные категории персональных данных подробнее, надо сказать, весьма затруднительно.
Но, как правило, это конфиденциальная информация о разного рода физических лицах, государственных служащих, военных и т.д.
Все то, что гражданин не хотел бы оглашать прилюдно, должно находиться под защитой государства. Это личные паспортные данные, номера свидетельств или прав, мировоззренческие убеждения и прочее.
Права субъектов
Закон «О персональных данных» (ФЗ №152) гласит, что любой гражданин, чьи данные подвергаются обработке, имеет право в любой момент получить всю необходимую информацию как о своих данных, так и об уровне их защиты. Каждый человек может сделать специальный запрос, после чего любой освободившийся оператор должен предоставить все необходимые данные. При этом субъект имеет право:
- на просмотр всех необходимых данных;
- на уничтожение обрабатываемой информации;
- на внесение в информацию определенных изменений.
Для того чтобы получить всю необходимую информацию, субъект должен сделать запрос с предоставлением своего личного номера (удостоверяющего личность). При этом каждый гражданин имеет право делать повторные запросы в необходимые инстанции.
Стоит также отметить, что оператор вправе отказать субъекту в просмотре необходимой информации. Однако отказ этот должен быть мотивирован. Как правило, основными мотивами являются неверно оформленный запрос, неоконченная обработка данных или ограниченное правовое положение самого субъекта.
Обязанности оператора
Кто такие операторы? Речь об этих работниках уже шла выше, однако их основные функции так и не были обозначены. Соответствующее положение о защите персональных данных регламентирует здесь следующее:
- оператор обязан сообщать субъекту свою должность, фамилию и имя, а также адрес;
- работать должен в строгом соответствии с законом, на основе определенных правовых актов;
- обязан сообщать субъекту все необходимые правила пользования персональной информацией;
- обязан качественно обеспечивать запись, хранение, систематизацию, накопление и изменение всех защищаемых и обрабатываемых персональных данных.
Стоит также отметить, что оператор имеет право не предоставлять гражданину персональные сведения, если идет их активная обработка или же если сам субъект не соблюдал все необходимые правила и условия получения персональных данных.
Меры по обеспечению безопасности
Выше были обозначены основные функции и обязанности операторов — работников по обработке персональных данных.
Одной из важнейших функций любого оператора остается обеспечение безопасного хранения информации в соответствующих ресурсах.
Федеральный Закон РФ от 27 июля 2006 года (№152, ФЗ) регламентирует основные меры и методы, позволяющие обеспечивать качественную безопасность любых персональных данных. Вот что здесь можно выделить:
- эффективное и быстрое выявление угроз безопасности, их скорое устранение;
- четкое применение разного рода технических и организационных мер, позволяющих сохранять безопасность хранения;
- составление оценок для соответствующих процедур, анализ работы хранения и накопления;
- качественное обеспечение машинных носителей, а также разного рода технических элементов;
- быстрое восстановление доступа ко всем персональным данным в случае их утечки или потери.
Помимо того, некоторые изменения в законе касаются и установления определенных уровней защищенности, в соответствии с которыми можно качественно оценивать работу по обработке персональных данных.
Уполномоченный орган
Необходимо, наконец, рассказать об уполномоченном органе, в обязанности которого и входит контроль над персональной обработкой данных тех или иных граждан.
Несложно догадаться, что уполномоченной инстанцией является орган исполнительной власти. Именно в его обязанности входит качественный контроль и надзор над эффективной работой по обработке информации.
Что вправе делать уполномоченный орган? Вот что регламентирует закон №152 (ФЗ) «О персональных данных»:
🔥 Видео
Закон 152-ФЗ "О персональных данных": как подготовить документы и сайты к проверке Роскомнадзора.Скачать
152-ФЗ и как его СОБЛЮДАТЬ. Часть 1Скачать
ОПОИБ. 5 152-ФЗ о персональных данныхСкачать
1C:Лекторий 12.9.23 Практика применения 152-ФЗ "О персональных данных" с учетом изменений 2023 годаСкачать
Персональные данные 2023. Обработка, учет, ведение документов по требованиям Роскомнадзора и ФЗ 152Скачать
Федеральный закон РФ "О персональных данных" (2021) от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021)Скачать
Почему нужно отозвать согласие на обработку персональных данныхСкачать
Новые изменения в ФЗ-152 "О персональных данных" | Защита персональных данных | Новые требованияСкачать
Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных. it-consult.proСкачать
Юрист про СОГЛАСИЕ НА ОБРАБОТКУ ПД | Оформляем ОТКАЗ при поступлении в ШКОЛУСкачать
Отказ принять запрет на обработку персональных данных Еламед Рязань. Нарушен152-ФЗ "О персон. данн."Скачать
Обработка персональных данных от А до ЯСкачать
Согласие. Обработка персональных. Как не подписатьСкачать
Отзыв согласия на обработку персональных данных // как избавиться от спама и мошенников?Скачать